浅谈黑客常用的攻击方法与防范措施
2024-02-07
来源:小侦探旅游网
第2011年第5期 商 业 经 济 NO.5,2011 (总第373期) SHANGYE JINGJI Tota1 No.373 [文章编号】1009—6043(2011)5—0079—03 浅谈黑客常用的攻击方法与防范措施 苏显峰 (绥化市北林区科学技术与信息产业局,黑龙江绥化152000) [摘要】互联网发展至今,除了它表面的繁荣外,也出现了一些不好的现象,其中网络安全问题特别被人们看重。近 年来出现了许多黑客软件,经常使用的获取1:2令、放置特洛伊木马程序、网络监听、寻找系统漏洞等九种攻击方法很容易对 他人造成损害。为防范黑客攻击,必须加强安全防范体系建设,对互联网用户加强安全教育,牢固树立安全防范意识,在使 用过程中。要坚持采取关闭不必要的服务、安装补丁程序、关闭无用的甚至有害的端口、删除Guest账号、限制不必要的用户 数量、及时备份重要数据、使用加密机制传输数据等基本的防护手段。 [关键词】网络;黑客;攻击;防范措施 [中图分类号】F490.5 [文献标识码】A Attack and Preventive Measures Used by HaekersStudy on a Management Consulting Co.,Ltd. SUXianfeng Abstract:Up to now,the development of intemet appears some bad phenomena except its apparent prospect,especially the network security.In recent years,many hacktools appeared often damage the users’interests by menas of stealing password,setitng Trojan,mort- itoring network,seeking system vulnerability,etc.In order to prevent hackers。attack,we must increase security system and security ed— ueafion to internet users。develop security awareness.In practice。we should take some basic protcetion means,i.e.closing unnecessary serviec,installing patches,closing useless,even harmful ports,deleting guest cacount,limiitng unnecessary users,backing-up important data in time,and transferring data by encryption mechanism. Key words:network,hacker,attack,preventive measllre 一、黑客常用的九种攻击方法 够获得其所在网段的所有用户账号和口令,对局域网安 许多上网的用户对网络安全可能抱着无所谓的态 全威胁巨大;二是在知道用户的账号后(如电子邮件@前 度,认为最多不过是被“黑客”盗用账号,他们往往会认为 面的部分)利用一些专门软件强行破解用户口令,这种方 法不受网段限制,但黑客要有足够的耐心和时间;三是在 “安全”只是针对那些大中型企事业单位的,而且黑客与 自己无怨无仇,干嘛要攻击自己呢?其实,在一无法纪二 获得一个服务器上的用户口令文件f此文件成为Shadow 文件)后,用暴力破解程序、破解用户口令,该方法的使用 元制度的虚拟网络世界中,现实生活中所有的阴险和卑 前提是黑客获得口令的Shadow文件。此方法在所有方法 鄙都表现得一览无余,在这样的信息时代里,几乎每个人 中危害最大,因为它不需要像第二种方法那样一遍又一 都面临着安全威胁,都有必要对网络安全有所了解,并能 遍地尝试登录服务器,而是在本地将加密后的口令与 够处理一些安全方面的问题,那些平时不注意安全的人, Shadow文件中的口令相比较就能非常容易地破获用户密 往往在受到安全方面的攻击时,付出惨重的代价时才会 码,尤其对那些弱智用户更是在短短的一两分钟内,甚至 后悔不已。 几十秒内就可以将其干掉。 为了把损失降低到最低限度,我们一定要有安全观 (二:)放置特洛伊木马程序 念,并掌握一定的安全防范措施,让黑客无任何机会可 特洛伊木马程序可以直接侵入用户的电脑并进行破 趁。研究那些黑客是如何找到你计算机中的安全漏洞的, 坏,它常被伪装成工具程序或者游戏等诱使用户打开带 只有了解了他们的攻击手段,我们才能采取准确的对策 有特洛伊木马程序的邮件附件或从网上直接下载,一旦 对付这些黑客。 用户打开了这些邮件的附件或者执行了这些程序之后。 (.一)获取口令 它们就会象古特洛伊人在敌人城外留下的藏满士兵的木 有三种方法:一是通过网络监听非法得到用户口令, 马一样留在自己的电脑中,并在自己的计算机系统中隐 这类方法有一定的局限性,但危害性极大,监听者往往能 藏一个可以在Windows启动时悄悄执行的程序。当您连 【收稿日期】2011—04—19 —.79.. 商业经济第2011年第5期 SHANGYE JINGJI No5,2011 .接到因特网上时,这个程序就会通知黑客,来报告您的IP Win98中的共享目录密码验证漏洞和IE5漏洞等,这些 漏洞在补丁未被开发出来之前一般很难 御黑客的破 地址以及预先设定的端口。黑客在收到这些信息后,再利 月j这个潜伏在其中的程序,就可以任意地修改你的计算 机的参数设定、复制文件、窥视你整个硬盘中的内容等, 从而达到控制你的计算机的目的。 (_-)-www的欺骗技术 在网上用户可以利用IE等浏览器进行各种各样的 WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报 纸、电子商务等。然而一般的用户恐怕不会想到有这些问 题存在:正在访问的网页已经被黑客篡改过,网页上的信 息是虚假的!例如黑客将用户要浏览的网页的URL改写 为指向黑客自己的服务器,当用户浏览目标网页的时候, 实际上是向黑客服务器发出请求,那么黑客就可以达到 欺骗的目的了。 (四)电子邮件攻击 电子邮件攻击主要表现为两种方式:一是电子邮件 轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹, 指的是用伪造的IP地址和电子邮件地址向同一信箱发 送数以千计、万计甚至无穷多次的内容相同的垃圾邮件, 致使受害人邮箱被“炸”,严重者可能会给电子邮件服务 器的操作系统带来危险,甚至瘫痪;二是电子邮件欺骗, 攻击者佯称自己为系统管理员(邮件地址和系统管理员 完全相同),给用户发送邮件要求用户修改口令(口令可能 为指定字符串)或在貌似正常的附件中加载病毒或其他 木马程序(某些单位的网络管理员有定期给用户免费发 送防火墙升级程序的义务,这为黑客成功地利用该方法 提供了可乘之机),这类欺骗只要用户提高警惕,一般危 害性不是太大。 (五)通过一个节点来攻击其他节点 黑客在突破一台主机后,往往以此主机作为根据地, 攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。 他们可以使用网络监听方法,尝试攻破同一网络内的其 他主机;也可以通过IP欺骗和主机信任关系,攻击其他 主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP 欺骗,因此较少被黑客使用。 )网络监听 网络监听是主机的一种工作模式,在这种模式下,主 机可以接受到本网段在同一条物理通道上传输的所有信 息,而不管这些信息的发送方和接受方是谁。此时,如果 两台主机进行通信的信息没有加密,只要使用某些网络 监听工具。例如NetXrayforWindows95/98fNT,snit ̄lforLin- UX,solaries等就可以轻而易举地截取包括口令和账号在 内的信息资料。虽然网络监听获得的用户账号和口令具 有一定的局限性,但监听者往往能够获得其所在网段的 所有用户账号及口令。 七)寻找系统漏洞 许多系统都有这样或那样的安全漏洞(Bugs),其中某 些是操作系统或应用软件本身具有的,如Sendmail漏洞, 一8O— 坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员 配置错误引起的,如在网络文件系统中,将目录和文件以 可写的方式调出,将未加Shadow的用户密码文件以明码 方式存放在某一目录下,这都会给黑客带来可乘之机,应 及时加以修正。 (/ )利用账号进行攻击 有的黑客会利用操作系统提供的缺省账户和密码进 行攻击,例如许多UNIX主机都有FrP和Guest等缺省账 户(其密码和账户名同名),有的甚至没有口令。黑客用 UNIX操作系统提供的命令如Finger和Ruser等收集信 息,不断提高自己的攻击能力。这类攻击只要系统管理员 提高警惕,将系统提供的缺省账户关掉或提醒无口令用 户增加口令,一般都能克服。 仇)偷取特权 利用各种特洛伊木马程序、后门程序和黑客自己编 写的导致缓冲区溢出的程序进行攻击,前者可使黑客非 法获得对用户机器的完全控制权,后者可使黑客获得超 级用户的权限,从而拥有对整个网络的绝对控制权。这种 攻击手段,一旦奏效,危害性极大。 二、黑客攻击手段的检测与防范 从DoS与DDoS过程可以看出,其攻击的目的主要 有:一是对网络带宽的流量攻击;二是对服务器某特定服 务的攻击。攻击的手段主要是发送大量垃圾数据交由网 络设备或服务器处理,导致资源占用超出允许上限,使网 络中断或无法提供正常服务。 (__・)网络级安全检测与防范 目前比较流行的网络级安全防范措施是使用专业防 火墙+入侵检测系统(IDS)为企业内部网络构筑一道安 全屏障。防火墙可以有效地阻止有害数据的通过,而 IDS则主要用于有害数据的分析和发现,它是防火墙功 能的延续。 通常人们认为,只要安装防火墙就可以保护处于它 身后的网络不受外界的侵袭和干扰。但随着网络技术的 发展,网络结构日趋复杂,传统防火墙在使用过程中暴露 出以下的不足:一是防火墙在工作时,入侵者可以伪造数 据绕过防火墙,或者找到防火墙中可能敞开的后门;二是 由于防火墙通常被安装在网络出口处,所以对来自网络 内部的攻击无能为力;三是由于防火墙性能上的限制,通 常它不具备实时监控入侵的能力;四是防止病毒入侵是 防火墙的一个弱项。 IDS恰好弥补了防火墙的不足,为网络提供实时的数 据流监控,并且在发现入侵的初期协同防火墙采取相应 的防护手段。目前IDS系统作为必要附加手段,已经被大 多数企业的安全构架所接受。 最近市场上出现了一种将防火墙和IDS两者合二为 一的新产品“入侵防御系统0utmsiortPreventionSyrstem简 苏显峰:浅谈黑客常用的攻击方法与防范措施 称IPS)”。它不但能检测入侵的发生,而且能通过一定的 响应方式,实时地中断入侵行为的发生和发展,二者的整 合大幅度地提高了检测和阻止网络攻击的效率,是今后 网络安全架构的一种发展趋势。 我们暂时无用的端口(f旦对于“黑客”却可能有用),即关闭 无用的服务,来减少“黑客”的攻击路径。我们可通过“控 制面板”的“管理工具”来进入“服务”,也可用通过打开 “TCPBP协议”一选择“属性”,打开“常规”一选择“高级”, 打开“选项”一选择“TCPhP筛选”一选择“属性”一双击 “TCPBP筛选”一选择“只允许”一选择“添加”添加需要打 开的端口;So上网必须要利用的80端口。 4.删除Guest账号 通过编写防火墙规则,可以让系统知道什么样的信 息包可以进入、什么样的应该放弃,如此一来,当黑客发 送有攻击性信息包的时候,在经过防火墙时,信息就会被 丢弃掉,从而防止了黑客的进攻。如天网防火墙,安装后 进入自定义IP规则,进行设置:一是禁止互联网上的机 器使用我的共享资源;二是禁止所有人的连接;三是禁止 Win2000的Guest账号一般是不能更改和删除的,只 能“禁用”,但是可以通过net命令(netuserguest/active)将其 所有人连接低端口;四是允许已经授权的程序打开端口, 这样一切需要开放的端口程序都需要审批。但是不要勾 选“系统设置”里的“允许所有应用程序访问网络,并在规 则记录这些程序”,这个设置是防范反弹木马和键盘记录 的秘密武器。 (二 )常规安全检测与防范 常规检测与防范是面向网络中所有服务器和客户机 的,是整个网络的安全基础。可以设想,如果全世界所有 计算机都有较好的防范机制,大规模计算机病毒爆发及 DDoS攻击发生的概率将锐减。所以,在任何安全防范体 系中加强安全教育、树立安全意识及采取基本的防护手 段都是最重要的。 在实际应用中,可以使用Ping命令和Netstat—an命 令检测是否受到了攻击。若发现网络速度突然变慢,使用 Ping命令检测时出现超时或严重丢包,则有可能是受到 了流量攻击。若使用Ping命令测试某服务器时基本正常, 但无法访问服务(如元法打开网页,DNS失效等),而Ping 同一交换机上的其他主机正常,则有可能是受到了资源 耗尽攻击。在服务器上执行Netstat—all命令,若显示有大 量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_I等状态, 而ESTABLISHED状态较少,则可以认定是受到了资源 耗尽攻击。 1.关闭不必要的服务 因为现在的硬盘越来越大,许多人在安装操作系统 时,希望安装越多越好。岂不知装得越多,所提供的服务 就越多,而系统的漏洞也就越多。如果只是要作为一个代 理服务器,则只安装最小化操作系统和代理软件、杀毒软 件、防火墙即可,不要安装任何应用软件,更不可安装任 何上网软件用来上网下载,甚至输入法也不要安装,更不 能让别人使用这台服务。 2.安装补丁程序 利用输入法的攻击其实就是黑客利用系统自身的漏 洞进行的攻击,对于这种攻击可以下载软件公司提供的 补丁程序来安装,就可较好地完善我们的系统和防御黑 客利用漏洞的攻击。 3.关闭无用的甚至有害的端口 计算机要进行网络连接就必须通过端口,要控制我 们的电脑也必须要通过端口。所以可通过关闭一些对于 激活,所以它很容易成为“黑客”攻击的目标,所以最好的 方法就是将其删除,下载Ptsec.exe即Win2000权限提升 程序。进入cmd,输入Ptsecdi回车,退出。进入注册表,搜 索Guest,删除它,Guest账号就被删除了。 5 艮制不必要的用户数量 去掉所有的duplicateuser账号、测试账号、共享账号、 不再使用的账号。这些账号常会成为黑客入侵系统的突破 口,账号越多,黑客得到合法用户的权限的机会就越大。如 果你的计算机账号自动增加,则可判断你被入侵了。 6.及时备份重要数据 如果数据备份及时,即便系统遭到黑客进攻,也可以 在短时间内修复,挽回不必要的经济损失。数据的备份最 好放在其他电脑或者驱动器上,这样黑客进入服务器之 后,破坏的数据只是一部分,因为无法找到数据的备份, 对于服务器的损失也不会太严重。然而一旦受到黑客攻 击,管理员不要只设法恢复损坏的数据,还要及时分析黑 客的来源和攻击方法,尽快修补被黑客利用的漏洞,然后 检查系统中是否被黑客安装了木马、蠕虫或者被黑客开 放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹 和后门分析清除、清除干净,防止黑客的下一次攻击。 7.使用加密机制传输数据 对于个人信用卡、密码等重要数据,在客户端与服务 器之间的传送,应该先经过加密处理再进行发送,这样做 的目的是防止黑客监听、截获。对于现在网络上流行的各 种加密机制,都已经出现了不同的破解方法,因此在加密 的选择上应该寻找破解困难的,例如DES加密方法,这 是一套没有逆向破解的加密算法,因此黑客得到了这种 加密处理后的文件时,只能采取暴力破解法。个人用户只 要选择了一个优秀的密码,那么黑客的破解工作将会在 无休止的尝试后终止。 【参考文献】 【l】陈浩.Intemet上的网络攻击与防范[J】.电信技术,2002 (2):16-20 [2]无琴.Win2000入侵日志分析[J】.黑客X档案,2oo3(s) [3J胡小新,王颖,罗旭斌.一种D0S攻击的防御方案L『】.计 算机工程与应用,2009(12):160—163 【责任编辑:董润萍】 一81—